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Beschreibung 

Verfahren und Vorrichtung zum modularen Multiplizieren 

Die vorliegende Erfindung bezieht sich auf ein Verfahren und 
eine Vorrichtung zum modularen Multiplizieren eines Multipli- 
kanden mit einem Multiplikator unter Verwendung eines Moduls 
und insbesondere auf das modulare Multiplizieren unter Ver- 
wendung eines Multiplikations-Vorausschau- und eines Redukti- 
ons-Vorausschau-Verf ahrens . 

Die Kryptographie ist eine der wesentlichen Anwendungen fiir 
die modulare Arithmetik. Ein wesentlicher Algorithmus fiir die 
Kryptographie ist der bekannte RSA-Algorithmus . Der RSA— 
Algorithmus baut auf einer modularen Exponentiation auf, wel- 
che folgendermalien dargestellt werden kann: 

C = M'^ mod (N) . 

Hierbei ist C eine verschliisselte Nachricht, M ist eine 
nicht-verschliisselte Nachricht, d ist der geheime Schliissel 
und N ist der Modul . Der Modul N wird iiblicherweise durch 
Multiplikation zweier Primzahlen p und q erzeugt. Die modula- 
re Exponentiation wird mittels des bekannten Square-and- 
Multiply-Algorithmus in Multiplikationen zerlegt. Hierzu wird 
der Exponent d in Zweierpotenzen zerlegt, so dali die modulare 
Exponentiation in mehrere modulare Multiplikationen zerlegt 
werden kann. Urn die modulare Exponentiation rechenmaliig effi- 
zient implementieren zu konnen, wird die modulare Exponentia- 
tion daher in modulare Multiplikationen zerlegt, welche dann 
in Additionen zerlegt werden konnen. 

Die DE 3631992 C2 offenbart ein Kryptographie-Verfahren, bei 
dem die modulare Multiplikation unter Verwendung eines Mul- 
tiplikations-Vorausschau-Verf ahrens und unter Verwendung ei- 
nes Reduktions-Vorausschau-Verf ahrens beschleunigt werden 
kann. Das in der DE 3631992 C2 beschriebene Verfahren wird 
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auch als ZDN-Verfahren bezeichnet und anhand von Fig. 8 naher 
beschrieben. Nach einem Startschritt 900 des Algorithmus war- 
den die globalen Variablen M, C und N initialisiert . Ziel ist 
es, folgende modulare Multiplikation zu berechnen: 

5 

Z = M * C mod N . 



M wird als der Multiplikator bezeichnet, wahrend C als der 
Multiplikand bezeichnet wird. Z ist das Ergebnis der modula- 
10 ren Multiplikation, wahrend N der Modul ist. 

Hierauf werden verschiedene lokale Variablen initialisiert, 
auf die zunachst nicht naher eingegangen werden braucht. An- 
schlieUend werden zwei Vorausschau-Verfahren angewandt . Im 
15 Multiplikations— Vorausschau-Verfahren GEN_MULT_LA wird unter 
Verwendung verschiedener Look— Ahead— Regeln ein Multiplikati— 
ons-Verschiebungswert Sz sowie ein Multiplikations- 
Vorausschau-Parameter a berechnet (910) . Hierauf wird der ge- 
genwartige Inhalt des Z-Registers einer Links— Verschiebungs- 
20 Operation um Sz-Stellen unterzogen (920). 
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Im wesentlichen parallel dazu wird ein Reduktions- 
Vorausschau-Verfahren GEN_Mod_LA (930) durchgefuhrt , um einen 
Reduktionsverschiebungswert Sn und einen Reduktions-Parameter 
b zu berechnen. In einem Schritt 940 wird dann der gegenwar- 
tige Inhalt des Modul-Registers, also N, um Sn Stellen nach 
links bzw. rechts verschoben, um einen verschobenen Modulwert 
N' zu erzeugen. Die zentrale Drei—Operanden— Operation des 
ZDN-Verfahrens findet in einem Schritt 950 statt. Hierbei 
wird das Zwischenergebnis Z' nach dem Schritt 920 zu dem Mul— 
tiplikanden C, der mit dem Multiplikations-Vorausschau- 
Parameter a multipliziert ist, und zu dem verschobenen Modul 
N', der mit dem Reduktions-Vorausschau-Parameter b multipli- 
ziert ist, addiert . Je nach aktueller Situation konnen die 
Vorausschau-Parameter a und b einen Wert von +1, 0 Oder -1 

haben . 
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Ein typischer Fall besteht darin, dafi der Multiplikations- 
Vorausschau-Parameter a +1 betrSgt, und daB der Reduktion- 
Vorausschau-Parameter b -1 betrSgt, so daB zu einem verscho- 
benen Zwischenergebnis Z' der Multiplikand C hinzu addiert 
wird, und der verschobene Modul N' davon subtrahiert wird. a 
wird einen Wert gleich 0 haben, wenn das Multiplikations- 
Vorausschau-Verfahren mehr als eine voreingestellte Anzahl 
von einzelnen Links-Verschiebungen zulassen wiirde, also wenn 
Sz groBer als der maximal zulassige Wert von Sz ist, der auch 
als k bezeichnet wird. Ftir den Fall, daB a gleich 0 ist, und 
daB Z' aufgrund der vorausgehenden modularen Reduktion, also 
der vorausgehenden Subtraktion des verschobenen Moduls noch 
ziemlich klein ist, und insbesondere kleiner als der verscho- 
bene Modul N' ist, muB keine Reduktion stattfinden, so daB 
der Parameter b gleich 0 ist. 



20 




30 



Die Schritte 910 bis 950 werden so lange durchgefiihrt , bis 
samtliche Stellen des Multiplikanden abgearbeitet sind, also 
bis m gleich 0 ist, und bis auch ein Parameter n gleich 0 
ist, welcher angibt, ob der verschobene Modul N' noch groBer 
als der ursprtingliche Modul N ist, oder ob trotz der Tatsa- 
che, daB bereits samtliche Stellen des Multiplikanden abgear- 
beitet sind, noch weitere Reduktionsschritte durch Subtrahie— 
ren des Moduls von Z durchgefiihrt werden miissen. 

AbschlieBend wird noch bestimmt, ob Z kleiner als 0 ist. 

Falls dies der Fall ist, muB, um eine abschlieBende Reduktion 
zu erreichen, der Modul N zu Z hinzuaddiert werden, damit 
schlieBlich das korrekte Ergebnis Z der modularen Multiplika- 
tion erhalten wird. In einem Schritt 960 ist die modulare 
Multiplikation mittels des ZDN-Verf ahrens beendet. 



Der Multiplikations-Verschiebungswert Sz sowie der Multipli- 
kations-Parameter a, welche im Schritt 910 durch den Mul- 
35 tiplikations-Vorausschau-Algorithmus berechnet werden, erge- 
ben sich durch die Topologie des Multiplikators sowie durch 
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die eingesetzten Vorausschau— Regeln, die in der DE 3631992 C2 
beschrieben sind. 
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Der Reduktions-Verschiebungswert Sn und der Reduktions- 
Parameter b werden, wie es ebenfalls in der DE 3631992 C2 be— 
schrieben ist, durch Vergleich des gegenwartigen Inhalts des 
Z-Registers mit einem Wert 2/3 mal N bestimmt. Aufgrund die- 
ses Vergleiches tragt das ZDN-Verf ahren seinen Namen (ZDN = 
Zwei Drittel N) . 

Das ZDN-Verfahren, wie es in Fig. 8 dargestellt ist, fiihrt 
die modulare Multiplikation auf eine Drei-Operanden-Addition 
(Block 950 in Fig. 8) zuruck, wobei zur Steigerung der Re- 
chenzeitef f izienz das Multiplikations-Vorausschau-Verf ahren 
und damit einhergehend das Reduktions-Vorausschau-Verf ahren 
eingesetzt werden. 



20 




Im nachfolgenden wird anhand von Fig. 9 naher auf das Reduk- 
tions-Vorausschau-Verf ahren eingegangen, das im Block 930 von 
Fig. 8 ausgefiihrt wird. Zunachst wird in einem Block 1000 ei— 
ne Reservierung fiir die lokalen Variablen, d. h. den Redukti- 
ons-Vorausschau-Parameter b und den Reduktions- 
Verschiebungswert Sn, durchgef vihrt . In einem Block 1010 wird 
der Reduktions-Verschiebungswert sn auf Null initialisiert . 
Hierauf wird in einem Block 1020 der Wert ZDN berechnet, der 
gleich 2/3 des Moduls N ist. Dieser Wert, der im Block 1020 
bestimmt wird, wird in einem eigenen Register, dem ZDN- 
Register, auf dem Kryptocoprozessor abgespeichert . 



30 In einem Block 1030 wird dann bestimmt, ob die Variable n 

gleich 0 ist, oder ob der Verschiebungswert Sn gleich — k ist. 
k ist ein Wert, welcher den maximalen Verschiebungswert, wel- 
cher durch die Hardware vorgegeben ist, definiert. Im ersten 
Durchgang wird der Block 1030 mit NEIN beantwortet, so dali in 
35 einem Block 1040 der Parameter n dekrementiert wird, und dal5 
in einem Block 1060 auch der Reduktions-Verschiebungswert urn 
1 dekrementiert wird. Dann wird in einem Block 1080 die Vari- 
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able ZDN neu belegt, namlich mit ihrem halben Wert, was durch 
eine Rechts-Verschiebung des im ZDN-Register stehenden Werts 
ohne weiteres erreicht werden kann. In einem Block 1100 wird 
dann f estgestellt , ob der Absolutwert des aktuellen Zwischen- 
5 ergebnisses grolJer als der im ZDN-Register stehende Wert ist- 
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Diese Vergleichsoperation im Block 1100 ist die zentrale Ope- 
ration des Reduktions-Vorausschau-Verf ahrens . Wird die Frage 
mit JA beantwortet, so ist die Iteration beendet und der Re- 
duktions-Vorausschau-Parameter b wird, wie es im Block 1120 
dargestellt ist, belegt. Wird die im Block 1100 zu beantwor- 
tende Frage dagegen mit NEIN beantwortet, so wird iterativ 
wieder zuriickgesprungen, um die aktuellen Werte von n und Sn 
im Block 1030 zu untersuchen. Wird der Block 1030 irgendwann 
in der Iteration mit JA beantwortet, so wird zu einem Block 
1140 gesprungen, in dem der Reduktions-Parameter b zu Null 
gesetzt wird. In der in Fig. 8 im Block 950 dargestellten 
Drei-Operanden-Operation ftihrt dies dazu, daft kein Modul ad- 
diert Oder subtrahiert wird, was bedeutet, dali das Zwischen- 
ergebnis Z so klein war, daJJ keine modulare Reduktion erfor- 
derlich war. In einem Block 1160 wird dann die Variable n neu 
belegt, wobei dann in einem Block 1180 schlielilich der Reduk- 
tions-Verschiebungs-Wert Sn berechnet wird, welcher in einem 
Block 940 von Fig. 8 bendtigt wird, um die Linksverschiebung 
des Moduls durchzuf uhren, um einen verschobenen Modul zu er- 
reichen. 



In den Bldcken 1200, 1220 und 1240 werden schlielilich die ak- 

tuellen Werte von n und k hinsichtlich weiterer Variablen MAX 
30 und cur_k untersucht, um die aktuelle Belegung des N- 

Registers zu untersuchen, um sicherzustellen, daft keine Re- 
gisteriiberschreitungen stattfinden. Die naheren Details sind 
fiir die vorliegende Erfindung nicht von Bedeutung, sind je- 
doch in der DE 3631992 C2 detailliert beschrieben. 



Der ZDN-Algorithmus besteht im wesentlichen aus folgenden 
Schritten: 



35 
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1. Berechnen des Multiplikations-Verschiebungs-Werts Sz und 
des Multiplikations-Vorausschau-Parameters a. 

2. Verschieben des Inhalts des Z-Registers um Sz Stellen, 
d. h. Multiplizieren des Zwischenergebnisses des vorherigen 
Iterationsschritts mit dem Faktor 2®^. 

3. Berechnen des Reduktions-Verschiebungswerts Sn und opti- 
onal des Reduktions-Vorausschau-Parameters b. 

4 . Verschieben des Inhalts des N-Registers um Sn Stellen, 
d. h. Multiplizieren des aktuellen Moduls mit dem Faktor 2®”. 

5. Durchfiihren der Drei—Operanden— Addition, um ein aktuali — 
siertes Zwischenergebnis Z zu erhalten gemali folgender Be- 
stimmungsgleichung 2®^ Z + a c + b 2®^^ N. 

Je nach Multiplikations-Vorausschau-Algorithmus ist eine Be- 
rechnung von Multiplikations— Vorausschau— Parametern (a) und 
Reduktions— Vorausschau— Parametern (b) erf orderlich . Diese Pa- 
rameter konnen, wie es bekannt ist, Werte von -1,0 und +1 
einnehmen. 

Je nach Implementation kann der Reduktions-Verschiebungs-Wert 
Sn mittels eines Hilf s-Verschiebungs-Werts si berechnet wer- 
den, wie es anhand der Fig. 3a bis 3c erlautert werden wird. 
In diesem Fall wird zur Berechnung des Reduktions- 
Verschiebungs-Parameters Sn zunachst der Hilf s-Verschiebungs- 
Wert Si, also der Unterschied der hdchstwertigen Bits des ak- 
tuellen Z— Register— Eintrags und des aktuellen Modul— Register- 
Eintrags, berechnet, um dann aus der Differenz des Multipli- 
kations-Verschiebungs-Werts Sz und des Hilf s-Verschiebungs- 
Werts Si den Reduktions-Verschiebungs-Wert Sn zu berechnen - 

Wie es aus der DE 3631992 C2 bekannt ist, ist die Zeit, die 
bendtigt wird, um eine modulare Multiplikation M C mod N zu 
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berechnen, proportional zu einem Drittel der Lange des Multi- 
plikators M in Bits. Dies bedeutet, dalS die Anzahl der Zyk- 
len, um die modulare Multiplikation zu berechnen, gleich 
L(M)/3 ist. 

Obgleich unter Verwendung des Multiplikations-Vorausschau- 
Verfahrens und des parallel ablaufenden Reduktions- 
Vorausschau-Verfahrens bereits eine wesentliche Beschleuni- 
gung der modularen Multiplikation erreicht werden kann, be- 
steht dennoch der Wunsch, die modulare Multiplikation weiter 
zu beschleunigen, was insbesondere dann an Bedeutung gewinnt, 
wenn die Lange des Multiplikators in Bits immer weiter zu- 
nimmt, was insbesondere beim RSA-Algorithmus zu einer verbes- 
serten Sicherheit des Algorithmus fiihren kann. 

Des weiteren ist eine schnelle Berechnung der modularen Mul- 
tiplikation nicht nur beispielsweise bei Chip-Karten von Be- 
deutung, wo die Akzeptanz eines Verschlusselungskonzepts auch 
davon abhangt, wie lange ein Benutzer warten muIJ, sondern 
auch in sogenannten Trusted Centern von Bedeutung, wo bei- 
spielsweise 1.000 RSA-Verschliisselungen pro Sekunde durchzu- 
fiihren sind. Solche Trusted Centers treten dort auf, wo ein 
Security-Server eine Vielzahl von Client— Anfragen bedienen 
muli . 

Die Aufgabe der vorliegenden Erfindung besteht darin, ein 
schnelleres Verfahren und eine schnellere Vorrichtung zum mo- 
dularen Multiplizieren zu schaffen. 

Diese Aufgabe wird durch ein Verfahren zum modularen Multip- 
lizieren gemali Patentanspruch 1 Oder durch eine Vorrichtung 
zum modularen Multiplizieren gemali Patentanspruch 11 geschaf- 
f en . 

Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, da(i 
die Anzahl der Zyklen zum Berechnen der modularen Multiplika- 
tion verringert werden kann, wenn statt eines Drei— Operanden— 
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Addierers, wie im Stand der Technik, ein Multi-Operanden- 
Addierer eingesetzt wird, der ftir ftinf, sieben Oder noch mehr 
Operanden geeignet ist. Im Gegensatz zum herkommlichen ZDN- 
Verfahren, bei dem immer ein Iterationsschritt nach dem ande- 
ren ausgefiihrt wird, werden gemali der vorliegenden Erfindung 
zwei, drei oder mehr Iterationsschritte auf einmal ausge- 
fiihrt. Statt eines Drei-Operanden-Addierers, wie im Stand der 
Technik, ist hierzu ein Fiinf-, Sieben- Oder noch hoherwerti- 
ger Operanden— Addierer von Noten, dem als Operanden nicht nur 
das letzte Zwischenergebnis Z, der Multiplikand C und der Mo- 
dul zugefuhrt werden, sondern je nach Ausfuhrung, d. h. ob 
ein Funf-Operanden-Addierer , ein Sieben-Operanden-Addierer 
Oder ein noch hdherer Addierer verwendet wird, ein verschobe- 
nes Zwischenergebnis, ein Multiplikand und ein verschobener 
Multiplikand sowie ein um zwei verschiedene Verschiebungswer- 
te verschobener Modul etc. zugefuhrt wird. Die Art und Weise, 
mit der das Zwischenergebnis aus dem vorherigen Iterations- 
schritt, der Modul Oder ein von dem Modul abgeleiteter Wert 
und der Multiplikand C jeweils unter Verwendung der Multipli- 
kations— Verschiebungs— Werte und der Reduktions-Verschiebungs- 
Werte beaufschlagt werden, hangt von der ZDN- 
Bestimmungsgleichung ab. Die Beauf schlagungswerte ergeben 
sich dadurch, wenn in die ZDN-Gleichung die Gleichung ftir das 
aktualisierte Zwischenergebnis aus dem vorherigen Schritt 
eingesetzt wird, um unter Verwendung des erf indungsgemalien 
Addierers fur fiinf, sieben Oder noch mehr Operanden das aktu- 
alisierte Zwischenergebnis Z fiir den iibernachsten, iiberuber- 
nachsten oder noch hoheren herkommlichen ZDN-Schritt zu be- 
rechnen . 

Hierzu werden zunachst zwei oder mehr Multiplikations- 
Verschiebungs-Werte Sz^ bis Sz^ mittels eines Multiplikations- 
Vorausschau— Verf ahrens unter Beriicksichtigung von 1 Bldcken 
von Stellen des Multiplikators, welche aneinander angrenzen, 
ermittelt . Dariiber hinaus werden 1 Reduktions-Verschiebungs— 
Werte Sn^ bis Sn^ mittels eines Reduktions— Vorausschau— 
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Verfahrens berechnet, und zwar fur die selben 1 Bldcken von 
Stellen des Multiplikators . 
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Das Zwischenergebnis Z aus einem vorherigen Iterations- 
schritt, der Modul Oder ein von dem Modul abgeleiteter Wert 
und der Multiplikand werden mit den 1 Multiplikations- 
Verschiebungs-Werten und den 1 Reduktions-Verschiebungs- 
Werten beauf schlagt , urn die 21+1 Operanden zu erhalten, wel- 
che dann mittels des (21+1) -Operanden-Addierers zusammenge- 
faftt werden, um ein aktualisiertes Zwischenergebnis fur einen 
auf den vorherigen Iterationsschritt folgenden Iterations- 
schritt zu erhalten, wobei die Iteration so lange fortgesetzt 
wird, bis samtliche Stellen des Multiplikators abgearbeitet 
sind . 

Wenn ein Multiplikations-Vorausschau-Verf ahren verwendet 
wird, bei dem die Multiplikations-Verschiebungs-Werte fiir die 
1 Blbcke von aneinander angrenzenden Stellen des Multiplika- 
tors voneinander unabhangig sind, ist es ohne weiteres mog- 
lich, mehrere Multiplikations-Verschiebungs-Werte im voraus 
zu berechnen. 
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Die 1 Reduktions-Verschiebungs-Werte Sn^ bis Sn^ hangen typi- 
scherweise von friiheren Reduktions-Verschiebungs-Werten und 
friiheren Mulitplikations-Verschiebungs-Werten ab. So hSngt 
der erste Reduktions-Verschiebungs-Wert Sn^ vom ersten Mul- 
tiplikations-Verschiebungs-Wert Sz^ iiber den Hilfs- 
Verschiebungs-Wert si^ ab. Der zweite Reduktions- 
Verschiebungs-Wert Sn^ hangt jedoch neben dem zweiten Mul- 
tiplikations-Verschiebungs-Wert Sz^ auch von der Summe des um 
Sz’^ verschobenen Zwischenergebnisses Z, des Multiplikanden C 
multipliziert mit dem Multiplikations-Vorausschau-Parameter 
aus dem ersten Schritt a^ und dem um Sn^ verschobenen Modul N 
multipliziert mit dem Reduktions-Vorausschau-Parameter b^ aus 
dem vorherigen Schritt ab. Zur Berechnung des Reduktions- 
Verschiebungs— Parameters Sn^ und des Reduktions— Vorausschau— 
Parameters b^ kdnnte die vorher aufgefiihrte Summe, von der 
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diese Werte abhangen, ermittelt warden. Urn den Reduktions- 
Vorausschau-Parameter Sn^ zu berechnen, wird jedoch nicht die 
gesamte Summe benotigt, sondern lediglich das hochstwertige 
Bit dieser Sunune, urn den korrekten Reduktions-Verschiebungs- 
Parameter zu erhalten, damit eine korrekte Reduktion parallel 
zur Multiplikation stattfindet. Daher wird es bevorzugt, die 
Summe lediglich naherungsweise zu berechnen, was dadurch ge- 
schehen kann, daJi auf die Miteinbeziehung des Multiplikanden 
in die Summe verzichtet wird, und dass eine Modultransforma- 
tion durchgefiihrt wird, um einige wenige der hbchstwertigen 
Bits der oben genannten Summe schnell berechnen zu konnen. 

Bevorzugte Ausf uhrungsbeispiele der vorliegenden Erfindung 
warden nachfolgend bezugnehmend auf die beiliegenden Zeich- 
nungen naher erlautert. Es zeigen: 



Fig. 1 ein Blockschaltbild einer erf indungsgemalien Vor- 
richtung zum modularen Multiplizieren mit einem 
(21+1) -Operanden-Addierer; 

20 

Fig. 2 ein Blockschaltbild eines Ausfiihrungsbeispiels mit 
einem Fiinf -Operanden-Addierer ; 




Fig. 3a 
bis 3c 



eine schematische Darstellung des Zusammenhangs 
zwischen dem Multiplikations-Verschiebungs-Wert Sz, 
dem Hilf s-Verschiebungs-Wert Si und dem Reduktions- 
Verschiebungs-Wert Sn; 



Fig . 4 
30 



ein Ablauf diagramm fiir die modulare Multiplikation 
mit einer Modultransformation; 



Fig . 5 



35 



die Aufteilung eines Moduls N in einen ersten Ab- 
schnitt Nt von Bits und in einen zweiten Abschnitt 
Nr von Bits; 
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Fig. 6 die Aufteilung des transformierten Moduls in ei- 
nen ersten Abschnitt von Stellen mit der LSnge L 
und die verbleibenden Stellen; 

5 Fig. 7 eine Darstellung der Stellen des 2/3-fachen des 
transformierten Moduls N^; 




eine FluIJdiagrammdarstellung des bekannten ZDN- 
Verfahrens; und 

eine FluBdiagrammdarstellung des bekannten Redukti- 
ons-Vorausschau-Verf ahrens . 




Fig. 1 zeigt ein Blockschaltbild einer erf indungsgemaBen Vor- 
richtung zum modularen Multiplizieren eines Multiplikanden 
(C) mit einem Multiplikator (M) , der aus einer Mehrzahl von 
Stellen besteht, unter Verwendung eines Moduls (N) . Die Vor- 
richtung umfaBt zunachst eine Einrichtung 10 zum Ermitteln 
von 1 Multiplikations-Verschiebungs-Werten . Wie es in der 
DE 3631992 C2 ausgefuhrt ist, wird hierzu der Multiplikator 
M, der tiber einen Multiplikatoreingang 11 der Einrichtung 10 
zugeftihrt wird, abgescannt. An einem Ausgang 12 liefert die 
Einrichtung 10 Multiplikations-Verschiebungs-Werte sz^, •••/ 
Sz^ sowie, wenn der Multiplikations-Lookahead-Algorithmus 
verwendet wird, der in der DE 3631992 C2 offenbart ist, Mul- 
tiplikations-Vorausschau-Parameter a^, ..., a^. Ein Multipli- 

kations-Verschiebungs-Wert Sz^ ist einem Block von Stellen 
des Multiplikators M zugeordnet, wobei der Block von Stellen 
durch den verwendeten Lookahead-Algorithmus bestimmt ist. Fur 
auf einanderf olgende 1 Blbcke von Stellen des Multiplikators M 
ergeben sich somit die am Ausgang 12 der Einrichtung 10 auf- 
gefiihrten GroBen Sz^ und a^. 



Die erf indungsgemaBe Vorrichtung umfaBt ferner eine Einrich- 
35 tung 13 zum Ermitteln von 1 Reduktions— Verschiebungs— Werten . 
Der Einrichtung 13 wird tiber einen Moduleingang 14 der Modul 
N Oder ein transf ormierter Modul zugeftihrt, wobei der 




200110118 



12 



transf ormierte Modul ein Beispiel filr einen von dem Modul 

N abgeleiteten Wert darstellt. Es sei darauf hingewiesen, daft 
der iiber den Eingang 14 zugefiihrte Modulwert N Oder nicht 
unbedingt der urspriingliche Modul N oder der urspriingliche 
transf ormierte Modul der modularen Multiplikation ist. 

Dies wird in der Tat nur beim ersten Iterationsschritt zu- 
treffen, also wenn der erste Block von Stellen des Multipli- 
kators M "verarbeitet " wird. Bereits beim zweiten Iterations- 
schritt ist der iiber den Moduleingang 14 zugefuhrte Modulwert 
der um Sn^ verschobene urspriingliche Modul oder der um Sn^ 
verschobene urspriingliche transf ormierte Modul N^. 

Die Einrichtung 13 liefert an ihrem Ausgang 15 Reduktions- 
Verschiebungs-Parameter Sn^ bis Sn^ sowie Reduktions- 
Verschiebungs-Parameter b^ bis b^. 

Die Ausgange 12 und 15 der Einrichtungen 10 und 13 werden ei- 
ner Einrichtung 16 zum Beauf schlagen zugefiihrt. Die Einrich- 
tung 16 beauf schlagt den Multiplikanden C, der Modul N bzw. 
der transf ormierte Modul bzw. die entsprechenden Werte 
nach einem Iterationsschritt, wie es beziiglich des Eingangs 
14 ausgefiihrt worden ist, sowie ein Zwischenergebnis Z eines 
vorherigen Iterationsschritts so, dali 21+1 Operanden 17 ge- 
bildet werden, die dann mittels eines Multioperanden- 
Addierers 18 fiir die 21+1 Operanden zusammengefaBt werden, um 
ein aktualisiertes Zwischenergebnis Z' zu erhalten. Das aktu- 
alisierte Zwischenergebnis Z' stellt dann in einem nachsten 
Iterationsschritt wieder die EingangsgroBe Z in die Einrich- 
tung 16 zum Beauf schlagen dar. 

Die Iteration wird so lange fortgefiihrt, bis samtliche Stel- 
len des Multiplikators M abgearbeitet sind. Das dann erhalte- 
ne aktualisierte Zwischenergebnis Z' an dem Ausgang 19 der 
Einrichtung 18 stellt dann das Ergebnis der modularen Multi- 
plikation dar. Es sei darauf hingewiesen, daI5 unter Umstanden 
noch eine Reduktion unter Verwendung des urspriinglichen Mo- 
duls N stattfinden muB, um das aktualisierte Zwischenergebnis 
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Z' des letzten Iterationsschritts in die Restklasse des ur- 
spriinglichen Moduls N zuriick zu fiihren. Wurde eine Modul- 
transformation durchgefiihrt , so muft, urn das endgiiltige Ergeb- 
nis der modularen Multiplikation auszurechnen, auch wieder 
eine Modulrticktransf ormation stattfinden. 

Im nachfolgenden wird auf Fig. 2 eingegangen, um den Aufbau 
der Einrichtung 16 zum Beauf schlagen von Fig. 1 fiir den Fall 
1=2, d. h. fur den Fall eine Funf-Operanden-Addierers, dar- 
zustellen. Bevor naher auf Fig. 2 eingegangen wird, sei dar- 
auf hingewiesen, dali Multioperandenaddierer im Kapitel 8 des 
Fachbuchs "Computer Arithmetic, Algorithms and Hardware De- 
signs", Bahrooz Parhami, Oxford, ISBN 0-19-512583-5, be- 
schrieben sind. 

Die Bestimmungsgleichung des bekannten ZDN-Verf ahrens mit ei- 
nem Drei-Operanden-Addierer lautet f olgendermalien : 

Z' = 2'^Sz Z + a C + b 2 ''sn N. 

Z' ist das aktualisierte Zwischenergebnis . Z ist das Zwi- 
schenergebnis des vorhergehenden Iterationsschritts. Sz ist 
der Multiplikations-Verschiebungs-Wert , der von den gerade 
betrachteten Stellen des Multiplikators abhangt. a ist der 
Multiplikations-Vorausschau-Parameter , der mit dem Multipli- 
kations-Verschiebungs-Wert Sz korrespondiert . b ist der Re- 
duktions-Vorausschau-Parameter , der mit dem Reduktions- 
Verschiebungswert Sn korrespondiert, wahrend N den Inhalt des 
Modulregisters aus dem vorausgehenden Iterationsschritt dar- 
stellt . 

Erf indungsgemaU wird nunmehr von der Drei-Operanden-Summe ab- 
gegangen und eine Summe mit mehr als drei Operanden gebildet, 
um zwei oder mehr (1) Schritte des bekannten ZDN-Verf ahrens 
in einen einzigen Iterationsschritt des erf indungsgemaBen 
Verf ahrens zusammenzuf assen . 
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Im nachf olgenden wird dies anhand von 1=2 dargestellt. Die 
Gleichung fiir das aktualisierte Zwischenergebnis Z' nach ei- 
nem Iterationsschritt gemalJ dem erf indungsgemaften Verfahren 
lautet folgendermaJien : 

Z' = 2''sz^ (2''Sz^ Z + a^ C + 2 ''Sn^ N) + a^ C + b^ 2 ''sn^ N. 

Wenn diese Gleichung entsprechen zusaramengef aJ5t wird, ergibt 
sich folgende Bestimmungsgleichung fiir das aktualisierte Zwi- 
schenergebnis Z ' : 

Z' = 2^(sz^ + Sz^) Z + 2''sz^ (C + 2'^sz^ + Sn^) b^ N + a^ C + b^ 

2^Sn^ N. 

Die Exponenten zur Basis 2 in der obigen Gleichung kdnnen, 
wie es bekannt ist, durch Verschiebung der entsprechenden Re- 
gisterinhalte um die durch die Exponenten gegebene Anzahl von 
Stellen nach links Oder rechts bewirkt werden. Eine mdgliche 
schaltungsmaBige Implementation der obigen Gleichung ist in 
Fig. 2 dargestellt. Ein erster Operand 17a wird durch Ver- 
schieben des Registerinhalts Z 20 um Sz^ + Sz^ Stellen er- 
reicht. Ein zweiter Operand 17b wird dadurch erhalten, dali 
der Inhalt des Multiplikandenregisters 21 um Sz^ Stellen ver- 
schoben wird und ferner mit dem Vorzeichen des Multiplikati- 
ons-Vorausschau-Parameters a^ beaufschlagt wird. Analog dazu 
wird ein dritter Operand 17c erhalten, indem der Inhalt des 
Multiplikandenregisters 21 mit dem Vorzeichen des Multiplika- 
tions-Vorausschau-Parameters a^ beaufschlagt wird. Ein vier- 
ter Operand 17d wird dadurch erhalten, daft der Inhalt des Mo- 
dulregisters 22 zunachst um Sn’^ + Sz^ Stellen verschoben wird 
und ferner mit dem Vorzeichen des Reduktions-Vorausschau— 
Parameters b^ beaufschlagt wird. Der letzte Operand 17e fiir 
den Fall 1 = 2 wird dadurch erhalten, daJi der Inhalt des Mo- 
dulregisters 22 um Sn^ Stellen verschoben wird und ferner mit 
dem Vorzeichen von b^ beaufschlagt wird. Die fiinf Operanden 
17a bis 17e werden dann in dem Fiinf-Operanden-Addierer 18 
aufaddiert, um das aktualisierte Zwischenergebnis Z' fiir ei- 
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nen Iterationsschritt des erf indungsgemSlien Verfahrens zu er— 
halten . 



5 



10 




15 



Ober einen Z-Datenpfad 23 wird das aktualisierte Zwischener- 
gebnis in das Z-Register 20 eingespeist, damit das Z-Register 
20 fiir den nachsten Iterationsschritt bereit ist. wahrend der 
Multiplikand C in alien Iterationsschritten der gleiche ist, 
wird der um Sn^ Stellen verschobene Modul N' tiber einen Mo- 
duldatenpfad 24 wieder in das Modulregister 22 zuruckgefuhrt , 
damit auch das Modulregister 22 fiir den nachsten Iterations- 
schritt vorbereitet ist. 

Es sei darauf hingewiesen, daJJ die Verschiebungswerte Sz^, Sn^ 
sowie die Parameter a^ und b^ im voraus berechnet werden mus- 
sen, wie es durch die Einrichtungen 10 und 13 von Fig. 1 an— 
gedeutet ist. Dasselbe gilt, wenn statt 1=21=3 gewahlt 
wird. In diesem Fall wiirde die Bestimmungsgleichung fiir das 
aktualisierte Zwischenergebnis Z' f olgendermalien lauten: 



20 Z' = 2'^sz^ [2"sz^ (2''sz^ Z + a^ C + b^ 2 ''Sn^ N) 

+ a^ C + b^ 2 ''sn^ N] + a^ C + b^ 2 ''sn^ N. 




Ein Ausmultiplizieren und Zusammenf assen der obigen Gleichung 
ergibt dann die Verschiebungs- bzw. Vorzeichenwerte fur einen 
Sieben-Operanden-Addierer , um gewissermaBen drei Einzel- 
schritte des bekannten ZDN-Verf ahrens in einen einzigen Ite- 
rationsschritt des erf indungsgemaBen ZDN-Verf ahrens zusammen- 
zufassen . 



30 Aus den bezuglich 1=2 und 1=3 gegebenen Beispielen fur 

die Berechnung der Verschiebungswerte und der Vorzeichenwerte 
ist es fiir Fachleute ohne weiteres moglich, auch fiir 1 = 4 
und dariiberliegende Zahlen den Aufbau der Einrichtung 16 zum 
Beauf schlagen von Fig. 1 zu ermitteln. 

35 

Es sei darauf hingewiesen, daJi mit zunehmendem 1 der Hard- 
ware-Aufwand steigt, jedoch gleichzeitig die Anzahl der zu 
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berechnenden Zyklen gemaft L(M)/(1 3) abfSllt. Es wurde he- 
rausgefunden, dafi ein Optimum zwischen Hardware-Aufwand auf 
der einen Seite und Zeitersparnis auf der anderen Seite bei 
einem Wert von 1=3 liegt, d. h. bei einer Schaltung mit ei- 
5 nem Sieben-Operanden-Addierer . 




20 




Im nachf olgenden wird auf die Berechnung der 1 Multiplikati- 
ons-Verschiebungs-Werte (Einrichtung 10 von Fig. 1) bzw. auf 
der Berechnung von 1 Reduktions-Verschiebungs-Werte (Einrich- 
tung 13 von Fig. 1) eingegangen. Wahrend die Berechnung der 
Multiplikations-Verschiebungs-Werte Sz^, Sz^ und der mit 

denselben korrespondierenden Multiplikations-Verschiebungs- 
Werte a^, . . . , a^ durch den verwendeten Multiplikations- 

Lookahead-Algorithmus bestimmt ist, existieren verschiedene 
Moglichkeiten, urn die Berechnung der 1 Reduktions- 
Verschiebungs-Werte Sn^/ • • • f Sn^ sowie der damit einhergehen- 
den Reduktions-Vorausschau-Parameter b^, •••/ effizienter 

zu gestalten. Wahrend diese Parameter ohne weiteres berechnet 
werden konnen, indem die runde Klammer der Bestimmungsglei- 
chung fiir das aktualisierte Zwischenergebnis Z' im Falle von 
1=2 vollstandig ausgerechnet wird, ist diese Berechnung 
dennoch redundant, da ja nicht samtliche Bits der Summe in 
der runden Klammer benotigt werden, um den Reduktions- 
Verschiebungs-Wert Sn^ zu berechnen, sondern da lediglich ei- 
nige hochstwertige Bits dieser Summe benotigt werden. 



Um die Berechnung der Klammer bzw. der hochstwertigen Bits 
der Klammer zu vereinf achen, kann zunachst der Multiplikand C 
in der Klammer ftir die Berechnung von Sn^ vernachlassigt wer- 
30 den. Entscheidend fiir das hochstwertige Bit der Klammer ist 
daher nicht der Multiplikand C, welcher wahrend der gesamten 
Rechnung statisch ist und nicht nach oben bzw. nach unten 
verschoben wird. Zur Berechnung von Sn^ wird daher aus der 
Drei-Operanden-Summe in der Klammer bereits eine Zwei- 
35 Operanden-Summe . 
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Zur Berechnung der Reduktions-Verschiebungs-Werte Sn^, . . . , 

Sn^ empfiehlt es sich ferner, einen Hilf s-Reduktions- 
Verschiebungswert si einzufiihren. Anhand der nachfolgenden 
Fig. 3a bis 3c wird auf die Berechnung des Hilfs- 
Verschiebungs-Werts Si eingegangen, um die Berechnung des Re- 
duktions-Verschiebungswerts Sn unter Verwendung des Hilfs- 
Reduktions-Verschiebungswerts Si darzustellen . In Fig. 3a 
sind ein Zwischenergebnis Z und ein Modul N dargestellt. Le- 
diglich beispielhaft hat das Zwischenergebnis vier Bits, wah- 
rend der Modul 9 Bits hat. Nunmehr sei angenommen, daJi in dem 
Block 920 von Fig. 8 ein verschobenes Zwischenergebnis Z be- 
rechnet wird, was durch Multiplizieren mit 2''Sz erreicht war- 
den kann. 



15 So sei angenommen, dalS im Multiplikator 8 Nullen waren, was 
dazu ftihrt, daB der Multiplikatiohs-Verschiebungswert Sz 
gleich 8 war. Um eine modulare Reduktion zu erreichen, muB 
der Modul N in die GroBenordnung des verschobenen Zwischener- 
gebnis Z' kommen. Erf indungsgemaB soil der Modul N so weit 
20 verschoben warden, daB das oberste Bit des verschobenen Zwi- 
schenergebnisses Z' und das oberste Bit des verschobenen Mo- 
duls N gleich sind. Wie es aus Fig. 3b zu sehen ist, ist 
hierzu ein Reduktions-Verschiebungswert von Sn gleich 3 er- 

• f orderlich . 

Aus Fig. 3b ist ebenfalls zu sehen, daB die Ermittlung von Sn 
eigentlich erst durchgefiihrt warden kann, wenn sz berechnet 
worden ist, d. h. daB eine parallele Ausfuhrung der Blocke 
910 und 930 von Fig. 8, wie es fiir die vorliegende Erfindung 
30 bevorzugt wird, nicht mdglich ist. Aus diesem Grund wird der 
Hilf s-Verschiebungs-Parameter si eingeftlhrt. Vorteilhaft an 
Si ist, daB dieser Wert berechnet warden kann, ohne das Sz 
des aktuellen Schritts zu kennen. 



35 Aus Fig. 3c ist zu sehen, daB Sz immer gleich der Summe aus 

Si und Sn ist. Sn hangt somit immer mit Sz und Si derart zusam- 
men, daB folgende Gleichung gilt: 
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Sn ~ Sz ~ Si. 

Das zeitaufwendige iterative Verfahren zum Bestimmen von Sn 
5 kann somit zerlegt werden in ein zeitaufwendiges iteratives 
Verfahren zum Bestimmen von si (Block 930, 940) und eine 

schnelle Dif f erenz-Operation (sn = Sz - si) . Damit ist eine 
nahezu parallele Ausftihrung der beiden Vorausschau-Verfahren 
moglich, wobei die einzige serielle Komponente darin besteht, 
10 dafi vor dem Berechnen von Sn der tatsachliche Wert von Sz 

durch den Multiplikations-Vorausschau-Algorithmus bereits be- 
rechnet und geliefert worden ist. 

Wie es bereits ausgefuhrt worden ist, kann die Berechnung der 
15 Klammer bzw. die Berechnung von Sn^ weiter vereinfacht wer- 
den, indem eine Modultransf ormation eingefiihrt wird. Mittels 
der Modultransformation wird, wie es nachfolgend ausgefuhrt 
wird, der zeitaufwendige ZDN-Vergleich zur Berechnung des 
Hilf s-Verschiebungs-Werts Si stark vereinfacht, wobei die Be- 
20 stimmungsgleichung fur Si f olgendermalien lautet: 

2/3 2''(-Si) N < |Z| ^ 4/3 2"'(-Si) N 

Fig. 4 zeigt ein Ablaufdiagramm des erf indungsgemalien Verfah- 
^5 rens zum modularen Multiplizieren eines Multiplikanden C mit 
einem Multiplikator M unter Verwendung eines Moduls N. Zu- 
nachst wird in einem Schritt 40 der Modul N in einen trans- 
formierten Modul gemalJ folgender Gleichung transf ormiert : 

30 n’’ = T X N. 

In einem Schritt 42 wird dann die modulare Multiplikation un- 
ter Verwendung des transf ormierten Moduls und des vorbe- 
stimmten Bruchteils des transformierten Moduls, der beim be- 
35 vorzugten Ausf iihrungsbeispiel 2/3 betragt, abgearbeitet . Be- 
zogen auf die modulare Exponentiation bedeutet dies, dali eine 
RSA-Gleichung folgender Form berechnet wird: 



19 
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C’’: = M'* mod n'^. 

Es wird also das Ergebnis der modularen Exponentiation C 
nicht in der durch den Modul N definierten Restklasse sondern 
in der durch den transf ormierten Modul definierten Rest- 
klasse berechnet, weshalb auf der linken Seite der obigen 
Gleichung nicht C sondern steht. Das erf indungsgemafie Kon- 
zept zeichnet sich dadurch aus, daft durch die Verwendung des 
transformierten Moduls die Berechnung des Hilfs- 
Reduktions-Verschiebungswerts si, die der Iterationsschleif e 
von Fig. 9 des bekannten Reduktions-Vorausschau-Verf ahrens 
entspricht, stark vereinfacht ist. 

In einem abschlielienden Schritt 44 wird dann wieder eine 
Ruck-Transformation von zu N durchgef iihrt , indem eine Ope- 
ration ausgeftihrt wird, die folgender Gleichung entspricht: 

C: = C’' mod N. 

Das transf ormierte Ergebnis c’’, das in der Restklasse des 
transformierten Moduls liegt, wird dabei vorzugsweise 
durch eine einfache Verschiebungs/Subtraktions-Reduktion in 
die Restklasse des Moduls N zuriickgefiihrt, so dali C das Er- 
gebnis der modularen Exponentiation ist. 

Die Transformation des Moduls N in einen transformierten Mo- 
dul unter Verwendung des Transformators T aus Schritt 10 
wird so durchgef iihrt , daft der vorbestimmte Bruchteil des 
transformierten Moduls, also beim bevorzugten Ausfiihrungsbei- 
spiel das 2/3-fache des transformierten Moduls, eine hoher- 
wertige Stelle mit einem ersten vorbestimmten Wert hat, der 
zumindest eine niederwertige Stelle folgt, die einen zweiten 
vorbestimmten Wert hat. Damit kann der Vergleich des Zwi- 
schenergebnisses Z mit dem 2/3-fachen des transformierten Mo- 
duls stark vereinfacht werden, namlich indem die oberste 
Stelle von Z, die ebenfalls den ersten vorbestimmten Wert 
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hat, gesucht wird, und die Differenz zwischen der hoherwerti- 
gen Stelle mit ersten vorbestimmten Wert des vorbestiininten 
Bruchteils des transf ormierten Moduls und der obersten Stelle 
des Zwischenergebnisses Z mit dem ersten vorbestimmten Wert 
5 gleich der Differenz Si ist- 

ZusammengefaUt stellt sich dies f olgendermalien dar. N wird 
vorzugsweise in der 32-Bit-CPU und nicht im Krypto- 
Coprozessor in einen transf ormierten Modul transf ormiert, 

10 so daft gilt: 

= T X N, 

wobei T eine natilrliche Zahl ist. 

15 

Fur ergibt sich folgende Gestalt, wenn samtliche verwende- 
ten Zahlen Binarzahlen sind: 




n’' = 1100 ... 0 XX. . .XX 

Fiir das 2/3-fache des transformierten Moduls ergibt sich dann 
f olgender Wert : 




30 
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2/3 = 100... 0 X'X'...X'X' 

Aus und 2/3 ist zu sehen, daft beide eine erste Portion 
von beispielsweise 16 Bits haben, und dann eine Portion von 
L(N) Bits X bzw. X'. Fur den sogenannten ZDN-Vergleich werden 
nur die obersten 16 Bits des 2/3— fachen des transformierten 
Moduls herangezogen, da sich dann bereits eine Fehlerwahr- 
scheinlichkeit von besser als etwa ergibt. Es miissen also 

nicht alle 512, 1024 Oder 2048 Bits des 2/3-fachen des trans- 

formierten Moduls zum ZDN-Vergleich herangezogen werden, son- 
dern es geniigt, wenn dieser Vergleich mit den obersten 16 
Bits des transformierten Moduls durchgefiihrt wird. Selbstver- 
standlich kdnnten auch noch weniger Bits von 2/3 n’^ zum Ver- 
gleich herangezogen werden, dann steigt jedoch die Fehler- 
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wahrscheinlichJceit nach und nach an. Da die Fehler jedoch un- 
kritisch sind und nur zu einem suboptimalen Verhalten des Re- 
duktions-Vorausschau-Verf ahrens fiihren, ist dieser Weg ohne 
weiteres gangbar. 

Das 2/3-fache des transf ormierten Moduls n"^ hat somit eine 
hoherwertige Stelle mit dem Wert 1, der zumindest eine nie- 
derwertige Stelle folgt, die einen Wert 0 hat, also einen 
zweiten vorbestimmten Wert- Bei dem vorstehend beschriebenen 
Ausfiihrungsbeispiel ist die Anzahl der niederwertigen Stellen 
15. Selbstverstandlich konnen auch hier grbBere Oder kleinere 
Blocke genommen werden, je nach dem, welche GrdBenunterschie- 
de zwischen dem Zwischenergebnis Z und dem 2/3-fachen des 
transformierten Moduls zu erwarten sind bzw. bearbeitet 
werden sollen. Fur den Betrag des Zwischenergebnisses Z der 
modularen Multiplikation, also des Ergebnisses der Drei- 
Operanden-Addition im Block 950 von Fig. 8 ergibt sich fol- 
gende Gestalt : 

|Z I = 00. . .OlYY. . .Y 

Der Hilf s-Verschiebungswert si wird gemafi folgender Gleichung 
berechnet : 

2/3 n’' X 2’=^ < |Z| < 4/3 x 2‘®^. 

Aufgrund der Topologie des 2/3-fachen des transformierten Mo- 
duls ist der Wert Si immer der Abstand zwischen dem 
hbchstwertigen Bit mit einer 1 des 2/3-fachen des transfor- 
mierten Moduls und der hbchstwertigen 1 des Betrags des 
Zwischenergebnisses . 

Erf indungsgemali kann diese Stellendif f erenz bzw. der Wert Si 
trivial ermittelt werden. Keine Iteration ist mehr erforder- 
lich . 
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Daruber hinaus 1st kein ZDN-Register mehr erforderlich, um 
das 2/3-fache des Moduls zu speichern, da per Definition zu- 
mindest die oberen beispielsweise 16 Bit des 2/3-fachen des 
transf ormierten Moduls immer die gleiche Gestalt haben. 

Kein Bit-Komparator ist mehr erforderlich. 

Aufgrund der Tatsache, dafi kein ZDN-Register und kein ZDN- 
Komparator erforderlich sind, ist das gesamte Rechenwerk auf 
einer kleineren Chipflache unterzubringen . 

AuBerdem hat der Krypto-Control-Part , also die Steuerlogik 
ftir den ZDN-Vergleich, eine kleinere Komplexitat, da die auf- 
wendige Iterationsschleif e von Fig. 9 nicht ausgefiihrt werden 
muB . SchlieBlich geht die Berechnung schneller, so daB sich 
durch die Berechnung des Hilfs-Verschiebungswerts Si keine 
Timing-Probleme mehr fiir den gesamten Algorithmus ergeben. 

Im nachfolgenden wird anhand der Figuren 5 bis 7 auf die er- 
f indungsgemaBe Transformation genauer eingegangen. 

Wie es bereits ausgefiihrt worden ist, besteht ein wesentli- 
cher Teil des ZDN-Algorithmus darin, dass folgende Gleichung 
erfiillt ist 

2/3 2'=^ N < |Z| < 4/3 2”®^ N. 

Si wird als Hilf s-Verschiebungswert bezeichnet und ist der 
Verschiebungswert , der notwendig ist, um Z stellenmaBig zu 
derselben Position wie N zu schieben. Im Stand der Technik 
waren zur Berechnung von Si Vergleichsoperationen von | Z I mit 
2/3 N notwendig. 

Erf indungsgemaB wird der Vergleich mit 2/3 vereinfacht, indem 
der Modul in den transf ormierten Modul transformiert wird, 
wobei der transf ormierte Modul groBer als N ist, bevor ir- 
gendeine modulare Operation mit N ausgefiihrt wird. Dann wer- 
den alle Berechnungen Modulo durchgefiihrt . Nachdem das Er- 
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gebnis der Berechnung jedoch in der Restklasse N sein muI5, 
wird erf indungsgemaJi eine abschlielJende Reduktion mit N 
durchgef iihrt . 



5 



10 




15 



Wie es in Fig. 5 gezeigt ist, sei N eine Ganzzahl mit einer 
Lange von N Bits. Da der Modul N immer eine positive Ganzzahl 
ist, d. h. MSB = 0 in der Zweier-Komplement-Darstellung, ist 
das Vor zeichenbit gleich 0 und das zweit-hochstwertige Bit 
(MSB -1) des Moduls N ist immer gleich 1. Fiir den ZDN- 
Vergleich ist es nicht erf orderlich, samtliche Bits des Mo- 
duls mit samtlichen Bits des Zwischenergebnisses zu verglei- 
chen, sondern es ist ausreichend, eine Anzahl von m Bits fiir 
den ZDN-Vergleich zu verwenden. Die hochstwertigen m Bits des 
Moduls N definieren einen ersten Teil des Moduls Nt, wahrend 
die restlichen N-m Bits des Moduls einen zweiten Teil Nr des 
Moduls definieren. Bei einem bevorzugten Ausfiihrungsbeispiel 
ist m gleich 16. Selbstverstandlich sind auch grolJere Oder 
kleinere Werte von m moglich. 



20 Wie es in Fig. 6 gezeigt ist, wird die Transformation derart 
ausgefiihrt, daft der transf ormierte Modul 16 Bit langer ist 
als der urspriingliche Modul von Fig. 2. 




30 



35 



Fiir den ZDN-Vergleich ist es ausreichend, die ersten 16 Bit 
von N^ zu verwenden, wobei bei einem bevorzugten Ausf iihrungs— 
beispiel der vorliegenden Erfindung nur 12 Bits zum Vergleich 
verwendet werden, wahrend die niederstwertigen 4 Bits einen 
Puffer fiir mogliche Obertrage darstellen, die von noch nie- 
derwertigeren Bits kommen kdnnen. 

In diesem Fall ist die Wahrscheinlichkeit , dali der Vergleich 
ein falsches Ergebnis ergibt, kleiner als 2~^^. Falls der Ver- 
gleich ein falsches Ergebnis liefert, wird nur ein suboptima- 
ler Reduktions-Verschiebungswert Sn erzeugt, das Ergebnis Mo- 
dulo N ist jedoch nach wie vor korrekt. 
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Wenn der Modul wie in Fig. 5 in der Zweierkomplementdarstel- 
lung verwendet wird, dann kann der Modul N folgendermalien 
zerlegt warden: 

N = 2"""* Nt + Nr. 

Nun wird N zu N’’ unter Verwendung des Transformators T trans- 
formiert, wobei T eine geeignet gewahlte Ganzzahl ist, was 
aus Kongruenzgriinden der Fall sein muft . n’^ sollte die in Fig. 
6 gezeigte Form haben, d. h. das hochstwertige Bit (MSB) von 
N^ muft gleich 0 sein, da n’^ eine positive Ganzzahl sein soil. 
Wie es nachfolgend ausgefiihrt wird, miissen das 
zweithochstwertige und das dritthdchstwertige Bit des trans- 
formierten Moduls gleich 1 sein, wahrend samtliche anderen 
Bits des obersten Abschnitts des transf ormierten Moduls N^, 
welcher in Fig. 6 mit dem Bezugszeichen 33 bezeichnet ist, 
einen Wert von „0" haben sollten. Nur in diesem Fall ergibt 
sich namlich fiir das 2/3-fache von n’^, dali der oberste Ab- 
schnitt des 2/3-fachen von n"^, wie es in Fig. 7 gezeigt ist, 
lediglich ein Bit mit einer „1" hat, wahrend alle anderen 
Bits in diesem obersten Abschnitt 44 gleich „0" sind, so dali 
der bereits beschriebene triviale Vergleich zur Bestimmung 
von Si ausgefiihrt warden kann. 

Zunachst wird jedoch anhand von Fig. 6 auf die Berechnung des 
transformierten Moduls n"^ unter Verwendung des Transformators 
T eingegangen. Es gelte folgende Definition: 

N'^ = T N 

= T(2"''" Nt + Nr) 

Fiir den Transf ormator T gilt folgendes: 

2P“2 2^“^ 



Nt 



T 
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Damit ergibt sich fur den transformierten Modul folgendes: 



5 2^"^ + 

N'^ = I 1 (2"-”Nt + Nr) 

Nt 

Nt Nr 

20 + ( 2 ^”^+ 2 *’"^) 

Nx Nx 




Wenn beispielsweise typische Werte fur p und m genommen wer- 
den, also p gleich 32 Bit und m gleich 16 Bit, so ergibt sich 
15 fiir N"*^ folgendes: 



20 




30 



35 



2P-2+2P'^ 

jjT ^ + Nr . 

Nx 

Es sei darauf hingewiesen, dafJ die Berechnung von N^ vorzugs- 
weise in der Host-CPU durchgefiihrt wird, und nicht im Krypto- 
Coprozessor. Die Host-CPU umfalit ein Kurzzahl-Rechenwerk, was 
jedoch fur die Berechnung von N’’ ausreichend ist. Da T eine 
Ganzzahl sein muli und die Berechnungen innerhalb des Krypto- 
Coprozessors Modulo N^ anstatt Modulo N durchgefiihrt werden, 
wobei N"^ groBer als N ist, sind nur die ersten p-m gleich 16 
Bits von N^ fiir den trivialen ZDN-Vergleich, um den Hilfs- 
Verschiebungswert Si zu berechnen, relevant. Die anderen n 
Bits von N^ konnen irgendeine Zahl sein, sie sind fiir die Be- 
rechnung des Hilf s-Verschiebungswerts si, also fiir den Ver- 
gleich mit Z nicht relevant. Selbstverstandlich werden jedoch 
alle Bits des transformierten Moduls N^ fiir die Drei- 
Operanden-Addition bendtigt, die nunmehr statt unter Verwen- 
dung des verschobenen Moduls unter Verwendung des verschobe- 
nen transformierten Moduls ausgefiihrt wird. 
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Fiir die gewahlten Werte fiir m und p ist der Transf ormator T 
eine 16-Bit-Ganzzahl . Daher muJi die Division, die zur Berech- 
nung von T erforderlich ist, bzw. die zur Berechnung von 
erforderlich ist, nur fiir die hochstwertigen 32 Bits durchge- 
5 fiihrt werden, und kann daher schnell und einfach auf der 
Host-CPU programmiert werden. 

In Fig. 7 ist das 2/3-fache des transformierten Moduls N'^ ge- 
zeigt. Da das MSB-1 und das MSB-2 von n'^ gleich „1" sind, wie 
10 es in Fig. 6 gezeigt ist, und folgendes gilt: 

I (11)2 = (3)io und (2/3 x 3)2 = (2)io = (10)2, 

ergibt sich ein einfaches Bitmuster fur das 2/3-fache des 
15 transformierten Moduls N^, wobei die Lange des 2/3-fachen des 
transformierten Moduls gleich n-m+p ist. 



20 




Aufgrund der speziellen Gestalt von 2/3 wird nun der Ver- 
gleich mit |Z| sehr einfach. Es ist bekannt, dali die hdchst- 
wertige Eins von 2/3 an einer Position n+p-m-2 an dem Be- 
ginn einer modularen Operation ist. Ein Zeiger fiir das 
Register Z startet dann bei einem bevorzugten Ausf tihrungsbei- 
spiel an dem MSB von Z und sucht nach der ersten „1" von Z. 
Wenn das MSB von Z gleich 1 ist, dann ist Z eine negative 
Zahl, und man sucht statt dessen die erste Null von Z. 



Die Differenz der Bitposition der ersten Eins im Register N 
und im Register Z bestimmt den Hilf s-Verschiebungswert Si. 



30 Da das Ergebnis der Modulo-Operation in der Restklasse N sein 
muii, wird erf indungsgemali eine Endreduktion Modulo N durchge- 
fiihrt, es mufi> also eine Riicktransformation (Schritt 44 in 
Fig. 4) durchgefiihrt werden. 

35 Die Transformation von N zu N^ hat die folgenden Vorteile im 
Vergleich zum bekannten ZDN-Vergleich : 
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Statt der Berechnung von 2/3 N innerhalb des Kryptocoprozes- 
sors kann eine einfache Transformation von N in in der 
Host-CPU durchgeftihrt warden. 

5 Auf dem Chip warden kein ZDN-Register und keine Komparatorlo- 
gik benotigt, weshalb die Chipgrolie kleiner und die Komplexi- 
tat des Coprozessors geringer warden. 




Die Verwendung der Modultransf ormation ermoglicht auf einfa- 
che Art und Weise die Berechnung des Hilf s-Verschiebungs- 
Werts Si, ohne den gesamten Inhalt der Klammer bzw. der Klam- 
mern in den Bestimmungsgleichungen fiir das aktualisierte Zwi- 
schenergebnis Z' berechnen zu mtissen. 



15 Die einzelnen Schritte zur Durchfiihren des erf indungsgemalien 
Verfahrens gemSB einem bevorzugten Ausf uhrungsbeispiel der 
vorliegenden Erfindung am Beispiel 1=2 lauten somit folgen- 
dermaJJen: 



20 1. Durchfiihren einer Modultransf ormation . 



2. Berechnen der Multiplikations-Verschiebungs-Werte Sz^ und 
Sz^ sowie der Multiplikations-Vorausschau-Parameter a’^ und a^ . 




3. Berechnen des Hilf s-Verschiebungs-Werts Si^ und Berechnen 
des ersten Reduktions-Verschiebungs-Werts Sn^ = Sz^ “ si^ und 
Ermitteln des ersten Reduktions-Vorausschau-Parameters b^. 



4. Berechnen des Inhalts eines Hilf szwischenergebnisses, das 
30 der besagten Klammer ohne Beriicksichtigung des Multiplikanden 
entspricht, um daraus und unter Verwendung des um Sn^ ver- 
schobenen Modulregisterinhalts den zweiten Hilfs- 
Verschiebungs-Wert si^ zu berechnen, aus dem dann wiederum 
ohne weiteres der Reduktions-Verschiebungs-Parameter Sn^ be- 



35 rechnet warden kann. 
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5. Durchfiihren der Funf-Operanden-Addition mit den durch die 
Verschiebungswerte und Verschiebungsparameter beauf schlagten 
Werten fur C, N bzw. und Z. 

6. Iterieren der vorgenannten Schritte, bis samtliche Stel- 
len des Multiplikators abgearbeitet sind. 

7. Durchfiihren einer Modulriicktransf ormation 

SchlielJlich sei darauf hingewiesen, dass das erf indungsgemalJe 
Konzept des Multioperanden-Addierers zur Berechnung mehrerer 
herkommlicher ZDN-Schritte auf einmal auch ftir Ringe der Form 
f 2 [x/N(x)] (wobei N (x) ein Polynom vom Grad d ist) eingesetzt 
werden kann, wobei dann samtliche Grolien als Polynome einer 
Variablen x aufzufassen sind, und die Koef f izienten der ein- 
zelnen Potenzen von x in den entsprechenden Registern abzu- 
speichern sind. 
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Patent anspriiche 

1. Verfahren zuiti modularen Multiplizieren eines Multipli- 
kanden (C) mit einem Multiplikator (M) , der aus einer Mehr- 
5 zahl von Stellen besteht, unter Verwendung eines Moduls (N) , 
mit folgenden Schritten: 




Ermitteln (10) von 1 Multiplikations-Verschiebungs-Werten 
(Sz^/ sz^) mittels eines Multiplikations-Vorausschau- 

Verfahrens unter Beriicksichtigung von 1 Blocken von Stellen 
des Multiplikators (M) , die aneinander angrenzen, wobei 1 
grolier Oder gleich 2 ist; 



Ermitteln (13) von 1 Reduktions-Verschiebungs-Werten (sn^, 

15 Sn^) mittels eines Reduktions-Vorausschau-Verf ahrens fur 

die 1 Bldcke von Stellen des Multiplikators (M) ; 



Beauf schlagen (16) eines Zwischenergebnisses (Z) aus einem 
vorherigen Iterationsschritt, des Moduls (N) oder eines von 
20 dem Modul (N) abgeleiteten Werts und des Multiplikanden (C) 
mit den 1 Multiplikations-Verschiebungs-Werten und den 1 Re- 
duktions-Verschiebungs-Werten, um 21+1 Operanden (17a bis 
17e) zu erhalten; und 




30 



Zusammenfassen (18) der (21+1 ) -Operanden, um ein aktualisier- 
tes Zwischenergebnis (Z') fiir einen auf den vorherigen Itera- 
tionsschritt folgenden Iterationsschritt zu erhalten, wobei 
eine Iteration so lange fortgesetzt wird, bis samtliche Stel- 
len des Multiplikators (M) abgearbeitet sind. 

2. Verfahren gemali Anspruch 1, bei dem 



im Schritt des Ermittelns (10) von 1 Multiplikations- 
Verschiebungs-Werten ferner 1 Multiplikations-Vorausschau- 
35 Parameter (a^, • . . , a^) ermittelt werden; 
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im Schritt des Ermittelns (13) von 1 Reduktions- 
Verschiebungs-Werten ferner 1 Reduktions-Vorausschau- 
Parameter (b^, . . . , b^) ermittelt warden; und 

im Schritt des Beauf schlagens (16) die 1 Multiplikations- 
Vorausschau-Parameter und die 1 Reduktions-Vorausschau- 
Parameter verwendet warden, um die 21+1 Operanden zu erhal— 
ten . 

3. Verfahren gemali Anspruch 1 oder 2, bei dem im Schritt 
des Ermittelns (13) der 1 Reduktions-Verschiebungs-Werte fol- 
gende Teilschritte durchgefiihrt warden: 

Berechnen eines Hilf s-Verschiebungs-Werts (si) aus einem Zwi- 
schenergebnis (Z) und einem Modulwert (N) fiir einen vorherge- 
henden Iterationsschritt ; 

Bilden einer Differenz aus dem Multiplikations— Verschiebungs- 
Wert fur eine erste Anzahl von Stellen des Multiplikators (M) 
und dem Hilf s-Verschiebungs-Wert (si) , um einen Reduktions- 
Verschiebungs-Wert (sn) zu erhalten. 

4. Verfahren gemaB Anspruch 3, bei dem der Schritt des Er- 
mittelns (13) von 1 Reduktions-Verschiebungs-Werten ferner 
folgende Teilschritte aufweist: 

Berechnen eines Hilf szwischenergebnisses unter Verwendung des 
Zwischenergebnisses (Z) fiir den vorausgehenden Iterations- 
schritt, des ersten Multiplikations-Verschiebungs-Werts 
(Sz^) , des Moduls (N) und des Reduktions-Verschiebungs-Werts 
(sn) , jedoch ohne Berticksichtigung des Multiplikanden (C) ; 

Berechnen eines Hilfsmoduls durch Verschieben des Moduls Oder 
des von dem Modul abgeleiteten Werts um eine Anzahl von Stel— 
len gleich dem Reduktions-Verschiebungs-Wert (Sn) ; 
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Berechnen eines weiteren Hilf s-Verschiebungs-Werts (Si^) aus 
dem Hilf szwischenergebnis und dem Hilfsmodul; und 

Bilden einer Differenz aus dem zweiten Multiplikations- 
5 Verschiebungs-Wert (sz^) und dem zweiten Hilf s-Verschiebungs- 
Wert (Si^) , urn den zweiten Reduktions-Verschiebungs-Wert (sn^) 
zu erhalten. 

5. Verfahren gemalJ einem der vorhergehenden Anspriiche, 

10 

bei dem vor dem Schritt des Ermittelns (10) von 1 Multiplika- 
t ions-Verschiebungs-Werten und vor dem Schritt des Ermittelns 
(13) von 1 Reduktions-Verschiebungs-Werten ferner folgender 
Schritt durchgeftihrt wird: 

15 

Transformieren (40) des Moduls (N) in einen transf ormierten 
Modul (N’^) , der grolier als der Modul (N) ist, wobei ein vor- 
bestimmter Bruchteil (2/3) des transf ormierten Moduls eine 
hoherwertige Stelle mit einem ersten vorbestimmten Wert hat, 
20 der zumindest eine niederwertige Stelle folgt, die einen 
zweiten vorbestimmten Wert hat; 





und bei dem nach einer Abarbeitung samtlicher Stellen des 
Multiplikators ferner folgender Schritt durchgeftihrt wird: 

Rticktransf ormieren (44) des aktualisierten Zwischenergebnis- 
ses (Z') durch modulares Reduzieren des aktualisierten Zwi- 
schenergebnisses unter Verwendung des Moduls (N) , 



30 wobei die Schritte des Ermittelns (10, 13), des Beaufschla- 
gens (16) und des Zusammenfassens (18) auf der Basis des 
transf ormierten Moduls (N^) durchgeftihrt werden. 



6. Verfahren gemalJ Anspruch 5, bei dem im Schritt des Er- 
35 mittelns von 1 Reduktions-Verschiebungs-Werten (13) in einem 
Teilschritt ein Multiplikationszwischenergebnis und ein Re- 
duktions-Verschiebungs-Wert (Sn) ermittelt werden, wobei der 
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Reduktions-Verschiebungs-Wert (sn) unter Verwendung einer Be- 
stimmung der Anzahl von Stellen zwischen der hoherwertigen 
Stelle mit dem ersten vorbestimmten Wert des transf ormierten 
Moduls und der hdchstwertigen Stelle des Zwischenergebnisses 
5 (Z), die den ersten vorbestinunten Wert hat, berechnet wird. 

7. Verfahren gemSB Anspruch 5 Oder 6, bei dem der vorbe- 
stimmte Bruchteil des Moduls 2/3 betragt. 

8. Verfahren gemali einem der Anspriiche 5 bis 7, bei dem das 
hdchstwertige Bit des transformierten Moduls ein Vorzeichen- 
Bit ist und ein hoherwertiger Abschnitt des vorbestimmten 
Bruchteils des Moduls folgendermaJien lautet : 

15 01000 XX ... XX, 

wobei die mit xx bezeichneten Bits beliebige Werte haben kon— 
nen . 

20 9. Verfahren gemali Anspruch 8, bei dem der hdherwertige Ab— 

schnitt des transformierten Moduls (N“^) folgendermalien lau- 
tet : 




10 . 



01100 ... 00 . 

Verfahren gemali einem der vorhergehenden Anspriiche, 



bei dem der Modul eine Ganzzahl ist, oder bei dem der Modul 
ein Polynom einer Variablen ist. 

30 

11. Vorrichtung zum modularen Multiplizieren eines Multi- 
plikanden (C) mit einem Multiplikator (M) , der aus einer 
Mehrzahl von Stellen besteht, unter Verwendung eines Moduls 
(N) , mit folgenden Merkmalen: 

35 

einer Einrichtung zum Ermitteln (10) von 1 Multiplikations- 
Verschiebungs-Werten (Sz^, ..., Sz^) mittels eines Multiplika- 
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tions-Vorausschau-Verf ahrens unter Beriicksichtigung von 1 
Blocken von Stellen des Multiplikators (M ) , die aneinander 
angrenzen, wobei 1 groiier oder gleich 2 ist; 

einer Einrichtung zum Ermitteln (13) von 1 Reduktions- 
Verschiebungs-Werten (Sn^, s/) mittels eines Reduktions- 

Vorausschau-Verf ahrens fiir die 1 Blocke von Stellen des Mul- 
tiplikators (M) ; 

einer Einrichtung zum Beauf schlagen (16) eines Zwischenergeb- 
nisses (Z) aus einem vorherigen Iterationsschritt , des Moduls 
(N) Oder eines von dem Modul (N) abgeleiteten Werts und des 
Multiplikanden (C) mit den 1 Multiplikations-Verschiebungs- 
Werten und den 1 Reduktions-Verschiebungs-Werten, um 21+1 O- 
peranden (17a bis 17e) zu erhalten; und 

einer Einrichtung zum Zusammenfassen (18) der (21+1)- 
Operanden, um ein aktualisiertes Zwischenergebnis (Z') fiir 
einen auf den vorherigen Iterationsschritt folgenden Iterati- 
onsschritt zu erhalten, wobei eine Iteration so lange fortge- 
setzt wird, bis samtliche Stellen des Multiplikators (M) ab- 
gearbeitet sind. 
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Zusairanenfassung 

Verfahren und Vorrichtung zum modularen Multiplizieren 

Bei einem Verfahren zum modularen Multiplizieren eines Multi- 
plikanden (C) mit einem Multiplikator (M) unter Verwendung 
eines Moduls (N) werden zunachst 1 Multiplikations- 
Verschiebungs-Werte mittels eines Multiplikations- 
Vorausschau-Verf ahrens unter Beriicksichtigung von 1 Blocken 
von Stellen des Multiplikators (M ) , die aneinander angrenzen, 
ermittelt (10) . Hierauf werden 1 Reduktions-Verschiebungs- 
Werte mittels eines Reduktions-Vorausschau-Verf ahrens fur die 
1 Blocke von Stellen des Multiplikators (M) ermittelt (13) . 
Ein Zwischenergebnis (Z) aus einem vorherigen Iterations- 
schritt, der Modul (N) Oder ein von dem Modul abgeleiteter 
Wert und der Multiplikand (C) werden mit den 1 Multiplikati- 
ons-Verschiebungs-Werten und den 1 Reduktions-Verschiebungs- 
Werten beaufschlagt (16), um die 21+1 Operanden (17) zu er- 
halten. Mittels eines Multioperandenaddierers (18) werden die 
21+1 Operanden zusammengefaBt , um ein aktualisiertes Zwi- 
schenergebnis (Z') ftir einen auf den vorherigen Iterations- 
schritt folgenden Iterationsschritt zu erhalten, wobei die 
Iteration so lange fortgesetzt wird, bis samtliche Stellen 
des Multiplikators (M) abgearbeitet sind. AbhSngig von der 
Anzahl von Operanden wird die Anzahl von zu berechnenden Zyk- 
len reduziert, so dali auf Kosten eines grbfieren Hardware- 
Aufwands eine schnellere Berechnung der modularen Multiplika— 
tion moglich ist. 




FIGUR ZUR ZUSANMENFASSUNG 
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Bezugszeichenliste 






10 


Einrichtung zum 


Ermitteln von Multiplikations- 




Verschiebungs-Werten 




11 


Multiplikatoreingang 




12 


Mul tipi i Rations - 


-Verschiebungs-Werte-Ausgang 


13 


Einrichtung zum 


Ermitteln der Reduktions- 






Verschiebungs-Werte 




14 


Moduleingang 






15 


Redu kt ions -Vers chiebungs-Wert-Ausgang 




16 


Einrichtung zum 


Beauf schlagen 




17a 


21+1 Operanden, 


1 . Operand 




17b 


21+1 Operanden, 


2 . Operand 




17c 


21+1 Operanden, 


3. Operand 




17d 


21+1 Operanden, 


4 . Operand 




17e 


21+1 Operanden, 


5 . Operand 




18 


Einrichtung zum 


Zusammenf assen 




19 


Ausgang fiir das 


aktualisierte Zwischenergebnis 


20 


Z-Register 






21 


C-Register 






22 


N-Register 






23 


Datenpfad fiir das Z-Register 




24 


Datenpfad fiir das N-Register 




40 


Einrichtung zum 


Transformieren des Moduls 




42 


Einrichtung zum 


iterativen Abarbeiten der 


modularen 




Multipli Ration 






44 


Einrichtung zum 


Riicktransformieren des transformierten 




Ergebnisses 






900 


Start des ZDN-Verfahrens 




910 


Multipli Rations- 


-Vorausschau-Verf ahren fiir 


den ZDN- 


Algorithmus 






920 


Verschieben von 


Z nach links oder rechts 




930 


Reduktions-Vorausschau-Verfahren fur den 


ZDN- 


Algorithmus 






940 


Verschieben des 


Moduls nach links 




950 


Drei-Operanden-Addition fiir den ZDN-Algorithmus 


960 


Ende des ZDN-Algorithmus 
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1000 Globale Variablen 

1010 Initialisierung des Reduktions-Verschiebungswerts 

1020 Berechnen von ZDN 

1030 Untersuchen von n und Sn 

1040 Dekrementieren von n 

1060 Dekrementieren des Reduktions-Verschiebungswerts 
1080 Berechnen von ZDN/2 

1100 Vergleich des Zwischenergebnisses mit ZDN 
1120 Bestimmen des Reduktions-Vorausschau-Parameters 
1140 Bestimmen des Reduktions-Vorausschau-Parameters 
1160 Berechnen von n 

1180 Berechnen des Reduktions-Vorausschau-Parameters 
1200 Untersuchen von n 
1220 Berechnen von cur_k 
1240 Berechnen von cur k 
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